倒數第三天！！今天絕對不唬，要把 CSRF 在這個網站的實際應用講完，之前的介紹就只有提一些簡單的原理并沒有太過實際的應用，而且沒有講完的話我會良心不安，好啦主要是沒講完不好產報告，ok 那就廢話不多説直接進入我們的正題

基本上我們要做的的就是僞造我們的身份直接登入它給的測試賬號，對，這個弱點在這個網站可以做的就只有那麽多，我們可以不小心的得知他的測試賬號登入以後，網頁會產一個 cookie token 給我們，我們可以使用之前提過的 F12 來使用開發者工具，找裡面的 application 中的 cookie，就可以看到記錄用戶端的資訊的 cookie，接著你又可以技巧性的得知他儲存的 cookie token 剛剛好就是密碼的明文，對就是這麽白癡

可以看到正常在沒有登入的情況下沒有辦法看到購物車裡面的東西

接著就是施展一些黑魔法，就是把 cookie 那邊的東西換一換，假裝自己是 admin，然後你會可以發現他的大門爲你敞開

嘿對，這個就是 CSRF 在這個網站的實際應用啦，其實還有其他的東西像是直接去改他購物車裡面的東西，不過那個好麻煩喔，就交給你們自己玩玩看啦